È stato scoperto un bug che compromette la sicurezza di numerosi progetti open source. Si tratta di una vulnerabilità critica trovata dai ricercatori di Check Point Software Technologies in Bugzilla. Chi fa la guardia alla guardia del re? Viene da chiederselo, visto che, paradossalmente, Bugzilla è un tool messo a disposizione da Mozilla Foundation per identificare bug nei progetti open source.
Bugzilla è in effetti ampiamente utilizzato dalle comunità pubbliche e anche da diverse aziende private, che lo hanno installato per verificare la solidità di progetti open source basati su Apache, Firefox, the Linux kernel, OpenSSH, Eclipse, KDE e GNOME.
Trovato un Bug in Bugzilla
Da Check Point rendono noto che il bug è particolarmente pericoloso perché consente una escalation di privilegi, fino ad accedere ad account di alto profilo e, da qui, direttamente a elementi critici dei progetti software, dati compresi. Più precisamente, la vulnerabilità permette a un malintenzionato di mascherare la propria identità e di nascondersi dietro un indirizzo email che ne camuffa l'identità. A seconda delle installazioni, è possibile arrivare al massimo dei privilegi, accedendo ai dati aziendali.
Poiché non si sa se tale vulnerabilità sia stata sfruttata, nel dubbio è utile verificare la lista degli utenti, per controllare se ci siano comportamenti anomali o attività sospette. Gli esperti di Check Point hanno informato del problema la Mozilla Foundation e il team responsabile del progetto Bugzilla, che si è subito attivato, riconoscendo la criticità del bug. Il giorno successivo, il 30 settembre, è arrivata la prima patch. Dal 6 ottobre sono disponibili le patch definitive nelle nuove versioni del software: 4.0.15, 4.2.11, 4.4.6 e 4.5.6.
È importante provvedere a installarle per proteggere i progetti software che contavano su Bugzilla, sin dalla versione 2.23.3 del 2006. I responsabili di BugZilla raccomandano anche di leggere le avvertenze sulla sicurezza pubblicate insieme alle nuove versioni. Al momento non c'è altra soluzione nota, tranne che per gli utilizzatori del sistema IPS (Intrusion Prevention System) di Check Point, i cui clienti potranno aggiornarli con una protezione appena rilasciata.